« 2005年01月 | メイン | 2005年03月 »
2005年02月28日
ファイアウォールって?
ファイアウォールって何でしょう?
基本的なファイアウォールの役割は、「信頼できないネットワーク」と「信頼できるネットワーク」の間に立ち、その間の通信をルールに従い制御することです。
「信頼できないネットワーク」とは、基本的にはインターネットですね。
「信頼できるネットワーク」とは、企業であれば社内ネットワーク、自宅などであれば、家庭内ネットワークが例として挙げられます。
ファイアウォールは、企業ではインターネットとの出入り口に専用のサーバや機器として置かれ、自宅などでは、最近はブロードバンドルーターがファイアウォールの役割を持ってたりすることが多いです。
コンピュータ同士が通信をするときには、ポート番号が利用されます。
Webサイトへの接続にはブラウザが80番ポート(HTTP)を宛先とて通信し、メールを送るときは、メーラーが25番ポート(SMTP)を使って、メールサーバーにデータを送ります。
ファイアウォールは基本的にこのポート番号と、通信の方向(誰から誰への通信か)をもとに通信を制御します。
ですので、Webの通信をブロックしたい場合は、80番ポート(HTTP)をブロック、メールの通信をブロックしたい場合は 25番ポート(SMTP)をブロックするといった感じです。
でも、Webを見るのもメールを送るのも、通信の方向としては「信頼できるネットワーク」から外へ向かっての通信ですよね。
だから通常は企業などでは社内から社外への通信は、Webやメールを許可します。
そうした上で、それ以外の仕事に必要のない通信はブロックするというようなルールが作られます。
また、逆の方向、「インターネット→社内」の通信は基本は全てブロックします。
社内・自宅でサーバなどを公開していない限りは、外部から自分のネットワークに接続をされることは不正侵入以外にはありえないからです。
ちょっと前まではこのファイアウォールがあればセキュリティは万全だというように思われていましたが、今は状況が全然違います。
ファイアウォールはあくまで通信の種類を許可・ブロックすることはできても、その内容までは見ることはできません。
小包のラベルは見れても、中身に実際に何が入っているか見れないのと同じです。
ということは許可したポート経由での攻撃(例えばメール経由でのウイルス感染)などには、ほとんど効果を発揮できないということになります。
ですので、最近はこのファイアウォールとそのほかのセキュリティ製品を組み合わせて利用することが多いですね。
2005年02月25日
フィッシング詐欺とは?(5)
「DNSポイズニング」(DNSキャッシュ・ポイズニング)
ホストファイルフィッシングは、hostsファイルというPC自身が持っているアドレス帳のようなものを書き換える手法でした。
例えば電話をかけるとき、アドレス帳の電話番号が間違ってたら、別の人にかけてしまいますよね。
それに対して、DNSというのは、「104」の電話番号案内サービスのようなものだと説明しました。
自分が持っていない情報を、問い合わせて聞くイメージです。
じゃあ、DNSは全面的に信用していいのか?
実は、DNSポイズニングという攻撃を受けた場合は、DNSがウソの情報を返す場合があるんです。
例えば、DNS1とDNS2という2つのDNSサーバがあるとします。
DNS1は、あなたがインターネットを利用するときに問い合わせる、あなたのPCにあらかじめ登録されている問い合わせ先です。
DNS2は、どこか別のところにある悪人が用意したDNSサーバです。
あなたがブラウザに「http://www.mecha-security.com」と入力すると、あなたのPCは裏でDNS1に問い合わせをします。
「www.mecha-security.com のIPアドレスを教えてください」
www.mecha-security.com はDNS1が管理するドメインではないので、他のDNS に問い合わせをしようとします。
このとき、DNS2が、DNS1に対して、
「www.mecha-security.com のIPアドレスは、xxx.xxx.xxx.xxx だよ」
という偽の情報を与えるんです。
そうすると、DNS1は、PCに対してその情報を返答してしまいます。
これが、DNSキャッシュ・ポイズニングです。
※DNSサーバ自体を乗っ取ったりして、直接書き換えてしまう方法もあります。
また、クライアントを攻撃して参照するDNSを変えてしまうといった手法もとられる場合があります。
ちなみにDNS1は、www.mecha-security.comの情報をキャッシュという一時的な記憶領域に保存しますので、一度偽の情報を持ってしまうと、他のユーザが聞きにきても、同じ情報を与えるので、DNS1を使っているユーザはどんどんフィッシングの餌食になってしまうんですね。
こういった場合ユーザ側でできることは、接続先がSSL(https://)の通信であった場合には、ブラウザの鍵マークの部分を必ず確認して、ちゃんとした証明書を持っていない場合には、そこでパスワードの登録やショッピングなどは絶対にしないようにしましょう。
それ以外には、システム側でDNSサーバ同士が証明書を使って認証する仕組みが、現時点では進められています。
ちなみに、「ホストファイルフィッシング」と今回の「DNSキャッシュ・ポイズニング」は、種をまいて収穫するというイメージから、「ファーミング」と呼ばれています。
2005年02月24日
フィッシング詐欺とは?(4)
「ホストファイルフィッシング」
フィッシングで今最も危険な手口だと言われているのが、OSのhostsファイルを書き換えて、偽のWebサイトに誘導する、「ホストファイルフィッシング」というものです。
「hostsファイルって?」という方のために、まずネットワーク上の「名前解決」というものについてお話します。
コンピュータ同士が通信するには、IPアドレスというものが利用されます。
IPアドレスはネットワークにつながる全てのコンピュータにつけられていて、「192.168.0.1」といったように、「0.0.0.0」から「255.255.255.255」まで間の数字であらわされます。みなさんの使っているPCにもついています。
でも、どこかに通信する時にこんな番号いちいち覚えてられないですよね?
そこで、もっと覚えやすい名前と、この数字を変換してくれるシステムが考案されました。
これがDNSと呼ばれるものです。
例えば、あなたが「http://www.mecha-security.com」というWebサーバの名前をブラウザのアドレスバーに入力すると、あなたのPCは裏で、
「www.mecha-security.com さんのIPアドレスは何ですか?」
と、DNSに対して問い合わせます。
するとインターネット上でサービスを提供しているDNSが、
「www.mecha-security.com のIPアドレスは、xxx.xxx.xxx.xxx」だよという応答を返してくれて、その後、ブラウザはそのIPアドレスに対して接続をするという仕組みです。
「104」で電話番号を聞いて、相手先に電話をかけるようなイメージですね。
通常は、こういったようにインターネット上のDNSに問い合わせて名前解決を行うのですが、この名前解決をローカルのPC上で行う方法があります。
これがhostsファイルです。
hostsファイルにあらじめ上記の名前とIPアドレスを書いておくことによってわざわざDNSに問い合わせなくても、相手コンピュータのIPアドレスがわかる仕組みです。
名前解決の順番として、まずアドレス帳(hostsファイル)を見て、番号がわからなかったら「104」(DNS)に聞く、というような感じです。
ちなみに、WindowsXPのhostsは、通常「C:\WINDOWS\system32\drivers\etc」にあります。
特に書き換えてなければ「127.0.0.1 localhost」という記述のみがあるはずです。
「127.0.0.1」というのは自分を表すIPアドレスです。
と前置きがかなり長くなってしまいましたが、ここからが本題です。
今回のホストファイルフィッシングでは、このホストファイルに嘘の情報を書き込む手口です。
ここにウソの情報があると、昨日ご説明したURLを直接入力したりする方法も、本当に目的のサイトかをブラウザのアドレスバーを見て確認する方法も、ちゃんとそのアドレス(URL)が表示されているので、偽者サイトだということが全然わからないんです。
ホストファイルフィッシングは、基本的にはウイルス、スパイウェアによって書き換えられることがメインですのでウイルス対策ソフトは常に起動させておいてくださいね。
2005年02月23日
フィッシング詐欺とは?(3)
さてフィッシング連載3回目です。
今回はフィッシング詐欺にあわないように、みなさんが出来る自己防衛的な対策をお話します。
◇フィッシング対策
(1) 不用意にメールのリンクをクリックしない
これは、僕のようなメルマガ発行者から言うのもなんですが (^^; メルマガに慣れているみなさんはリンクをクリックすることにあんまり抵抗がないですよね?
大多数の人が無意識にクリックしてしまっているため、本当に巧妙なフィッシングメールが来たとき大被害になりかねません。
普段来ないメールが来たときや、怪しいと直感的に思ったメールが来たときは、、本文中のリンクをクリックしないで、ブラウザのアドレスバーに「http://〜」というように、アドレスを直接手打ちするようにしましょう。
こうすることで、HTMLメールに仕組まれているワナを回避することがある程度は可能です。
(リンクに見せかけた画像をクリックさせようとしている場合等)
ちなみに怪しいメールが来たときに、「怪しい」って思うためには、普段から気をつけてないとダメですよ。
(2) サーバー証明書を確認する
「https://〜」となっているサイトは、第3者から情報を読み取られないように、サーバとブラウザ間での通信が、SSLという方式で暗号化されています。
今はショッピングサイトの購入時やオンラインバンキングなどのログインページ等では、必ずといっていいほどSSLが使われていると思います。
しかし情報が暗号化されているからといって安心はできません。
第3者に情報が盗み取られなくても、Webサーバ側が悪いヤツだったらダメですよね。
そこで、SSLで「https://〜」のサイトに接続しているとき、Internet Explorerを使っている人は、ブラウザの右下の鍵マークをダブルクリックしてみてください。
そうすると、「証明書」と書かれたポップアップが出てくるかと思います。
この「証明書」というのは、Webサーバの運営者が、信頼される機関に対して申請して取得しているもので、そのサーバの信頼性をある程度保障してくれるものです。
この表示された証明書に「×」マークがついていたり、「この証明書は信頼されていません」というような表記があった場合には、気をつけた方がいいでしょう。
(証明書の手続きに時間がかかっているだけの場合もありますが)
(3) ブラウザには最新のパッチをあてる
フィッシングのWebサイトに接続した際、よくブラウザのアドレスバーを見ると、自分が接続しようと思ってたサイトと違うドメインに接続していることが発見できる場合があります。
例)http://www.yahoo.co.jp が http://www.wahoo.co.jp となっている等
これで何かおかしいなと判断できればいいのですが、ブラウザにセキュリティホールがあった場合には、実際には別のサイトに接続しているのに、「http://www.yahoo.co.jp」 と見せるような手段もあります。
こういうケースを防ぐために、Internet Explorerを使っている方はWindowsUpdateをちゃんとしてブラウザのパッチをあてることが大事です。
また、他のブラウザを使ってる方も、ブラウザ提供者のサイトを見て、最新のものを利用するようにしましょうね。
(4) ウイルス対策ソフト、パーソナルファイアウォールを導入する
最近のフィッシングは「ステルス型」が流行してきてるって前回説明しましたよね?
これはトロイの木馬型ウイルスに感染することによって被害を受けるケースがあるので、もし何も入ってない方はぜひ導入を検討してください。
------
といったようなことを実施すれば、ある程度安全にはなるのですが、現在のところフィッシングに対する完全な対策というのはないと言われています。
とはいえ、上記を実施すれば、被害に合う確立はぐっと減りますので、ぜひ実施するようにしてくださいね。
2005年02月22日
フィッシング詐欺とは?(2)
今回は、フィッシングでどんなテクニックが使われてるかを解説します。
代表的なものは以下のテクニックですね。
(1)スパム(迷惑)メール
メールアドレスを大量に収集して、フィッシングメールを無差別に配信します。
宣伝などのスパムメールと同じ方法でなので、つまりはスパムメール対策がフィッシング対策に繋がるといえます。
(2)スプーフィング
スプーフィングとは「なりすまし」という意味です。
前回の例にもありましたが、フィッシングメールは差出人があたかもカード会社や金融機関であるように、なりすましてメールを送信します。
また、ブラウザのアドレスバーに表示されるWebサイトのアドレスもブラウザのセキュリティホールを使って、本物ようになりすますことができます。
(3)ソーシャルエンジニアリング
通常ソーシャルエンジニアリングとは、管理者からパスワードを盗み聞きしたりメモなどを覗き見したりしたりする行為を言うことが多いですが、フィッシングで使われる場合の意味は、
「人の心理をついて、うっかりと情報を漏らすように仕向けるためのテクニック」
を指しています。
巧みに金融機関からのメールのように見せかけたり、本物のWebサイトのように偽装したりしてパスワードを入力させたりするテクニック全般のことですね。
(4)ウイルス、ハッキング
トロイの木馬のように感染したPCから個人情報を送信したりする手法や、ハッカーがコンピュータを乗っ取ったりする方法で、ソーシャルエンジニアリングとは対象的に、ユーザが気づかないところで情報を取得する方法です。
トロイの木馬などによるフィッシングは「ステルス型フィッシング」と呼ばれたりします。
ちなみに「ステルス」というのはもともと軍事用語で、敵のレーダーにひっかからないようにする技術です。
では、次回はこれらに対しての対策にはどのようなものがあるかをお話します。
2005年02月21日
フィッシング詐欺とは?(1)
「フィッシング」、「フィッシング詐欺」という名前はみなさん聞いたことありますよね?
ニュース等でも取り上げられているので、大体どんなイメージかわかる方も多いと思います。
でも具体的な対策をするためには、その内容についてしっかりと知っておく必要がありますので、今回から複数回にわたって、フィッシング詐欺の内容やその手法についてお話をしたいと思います。
聞いたことないって方もしっかりついてきてくださいね!
ではまず最初にフィッシングの例を説明します。
あなたがVISAカードの会員であるとします。
ある日、VISAカードからメールが送られてきました。
そのメールには、あなたのVISAカードのセキュリティを高めるため、パスワードを入力してください等の文面が書かれていました。
メールの送信者は、VISAからのメールのようです。
また、パスワードを入力するためのリンク先も、VISAのドメイン名となっています。
さて、あなたはこのような場合どうしますか?
これは実際にあった事件です。怖いですね。。。
VISAカードの暗証番号を入力させようとする日本語フィッシングメール出現
上記はそれほど被害とはならなかったようですが、アメリカでは、フィッシング詐欺による被害が年間24億円にも上るようです。
なお、フィッシングは、英語の「Fishing」とは違い「Phishing」という綴りとなります。
これには3つの説があります。
1. Password Harvesting Fishing(パスワードを収集する釣り)の略
2. ハッカーがよく使う名前の付け方にそって、"F"を"PH"に置き換えている
3. "sophisticated"(洗練された)の"ph"からきている
だそうです。
今回はフィッシングの概要を説明しましたので、次回からはもうちょっと詳しく見ていきたいと思います。
2005年02月18日
ウイルス対策ソフトの仕組み
ネットワーク型ワームCodeRed II は、コンピュータのメモリ上でのみ動作するウイルスということを昨日説明しましたね。
メモリ上で動くウイルスがなぜ怖いか?
それは従来のウイルス対策ソフトでは検知できなかったからです。
それを知るためには、まずウイルス対策ソフトの仕組みについてお話します。
ウイルス対策ソフトは、ウイルスの特徴が書かれた情報(パターンファイル)をもとに、パターンファイルと実際のファイルを見比べることで、そのファイルがウイルスかどうかを判断します。
指名手配の犯人の写真と、人物を見比べてチェックしているようなイメージです。
じゃあ、どんなタイミングでファイルをチェックしているのか?
ファイルがハードディスクに保存されるとき、またはそのファイルを開こうとした時にチェックします。
ファイルが書き込まれるときや、ファイルが読みこまれるときには、ハードディスクへのアクセスが発生します。
ウイルス対策ソフトは、ハードディスクのアクセスを監視していて、アクセスがあった場合にファイルをチェックするわけです。
通常のメールで感染するウイルスや、ファイルに感染するウイルスは上記の方法で問題なく検出できるんですが、メモリ上で動作するウイルスは、ハードディスクへの書き込みを行わないために、ウイルス対策ソフトの監視の目をくぐり抜けてしまうのです。
ちなみにメモリというのは、仮のハードディスクのようなもので、電源がついている時だけ使えるものです。
ゲームで例えると、ロールプレイングゲームとかでセーブをしないでプレイしているようなイメージです。(ちょっと違うかな^^;)
CodeRed IIは、そういった性質を持っていたため、ウイルス対策ソフトが入っている環境でも感染してしまったケースが多かったみたいです。
このようなメモリ上で動作するウイルスで他に有名なのは「SQLスラマー」というウイルスです。
ただ、メモリというものは、電源がついているときだけ有効であるという性質上、PCを再起動するとCodeRed IIもSQLスラマーも消えてなくなってしまいます。
それで安心かというと、そうではなく、セキュリティホールがある状態でまた電源をつけると再度感染してしまうという堂々巡りになってしまいます。
ちなみに最近の主要なウイルス対策ソフトは、パーソナルファイアウォール機能などと組み合わせて、ファイルを作らないウイルスにも対応できるようになっているものが多いです。
2005年02月17日
CodeRed II
今となってはちょっと古いウイルスですが、昨日バックドアの説明をした時に話題に出てきたウイルス、CodeRed(CodeRedII)について解説します。
CodeRedII はネットワーク型ワームです。
IIS(Internet Information Server )って知っていますか?
Microsoftが開発したWebサーバ用のソフトで、消費者向けのPCには通常ないのですが、Windows2000などサーバ系のOSには標準で付属しています。
ですから、簡単にWebサーバが使えるという理由で使っているユーザや、自分でOSをインストールして知らないうちにIISを稼動させているユーザも結構います。
このIISですが、古いバージョンには結構たくさんセキュリティホールがありました。
便利なソフトの反面、多くの人が使っているという理由で、攻撃対象となりやすいソフトです。
CodeRedII はこのIISのセキュリティホールを利用し、通常のWebサーバへのアクセスに見せかけて、攻撃をしてきます。
パッチが適用されていないコンピュータへの攻撃が成功すると、CodeRedIIは「バックドア」をそのコンピュータ上に仕掛けます。
具体的にどのようなバックドアを仕掛けるのかと言うと、皆さんが使っているWindowsの左下の「スタート」ボタン上で右クリックすると「エクスプローラ」っていうメニューがありますよね?
これはWindows上のファイルをツリー上に表示してくれる便利なツールなんですが、これを外部から利用できるように改ざんしてしまいます。
また、CodeRedIIによって仕掛けられたバックドアを利用して感染を広げようとするウイルスも出現しました。
これがNimdaと呼ばれるウイルスです。
ウイルスを媒介としてさらに別のウイルスが広がっていくという非常に怖い自体が発生していました。
尚、CodeRedIIの怖いところは、通常のウイルスと違い、メモリ上で動作するウイルスであったということです。
メモリ上で動作するウイルスがなぜ怖いかについてはこちらで解説しています。
2005年02月16日
バックドアとは?
ウイルスの説明をしている時に「バックドア」という言葉が出てきたと思いますが、その詳細についてお話してみたいと思います。
バックドアの主な目的は、ハッカーやクラッカー、またはウイルスなどが侵入後、2回目以降に再度侵入するのを簡単にするための手法です。
現実の世界の話に例えると、泥棒コンビA・Bがいたとします。
その2人が誰かの家に侵入した後、Aがそのまま家の中に隠れていて、Bが後日その家に来たときに、中からカギを開けてくれる、といったようなものです。
例えば、Webサーバは、ブラウザからの接続を80番ポートで受け付ける、という話をしましたね。
Webサーバは、自分がWebサーバであることを自覚して、「正式に」80番ポートを空けて、ブラウザからの接続を待っているから問題はないんです。
でも、自分のコンピュータは誰かに接続させる気もないのに、バックドアによって知らないうちに裏口の受付窓口を作られてしまうことがあるんです。
ハッカーやクラッカーなどが自分の侵入用に人が直接バックドアを仕掛けるケースもあるんですが、ウイルスが感染経路としてバックドアを仕掛けることもあります。
そういうのは「バックドア型」のウイルスと呼ばれます。
バックドア型のウイルスとしては、CodeRedが有名です。
尚、バックドア型ウイルスの対策は、やはりウイルス対策ソフトや、スパイウェア対策ソフトで防ぐことが可能です。
ただ、ハッカーなどがバックドアを仕掛けようとしてくるのに対応するためには、PCに侵入されないためパスワードの管理をしっかりすることや、OSのパッチの適用をしっかりすることなどが大事です。
2005年02月15日
パスワードクラッキング その2
パスワードクラッキングの解説その2です。
前回パスワードを見破るための手法として、辞書攻撃やブルートフォース攻撃があるとお話しましたね。
でも、もし他人のPCを一瞬操作することができたら、もっと簡単にパスワードを取得できます。
例えばあるサイトにユーザ名とパスワードを入力して、後でそのサイトに接続したとき、ユーザ名とパスワードを覚えておいてくれたりしますよね。
これはブラウザの「オートコンプリート」という機能です。
そのとき表示されるパスワードですが、ちゃんと「****」とか、「●●●●」になって見えないようになってるから安心だと思いますよね。
でも、例えば以下にあるようなツールの中には、簡単にここに保存されているパスワードを見ることが出来るツールも存在します。
これらは自分でどんなパスワードを入力したか忘れてしまった場合に利用すれば便利ですが、悪用されると、非常に危険ですよね。
もしあなたが会社で働いていて、他の誰かにPCを操作される危険性があるとしたら、席を離れるときには必ずPCにロックをかけましょう。
それから、オートコンプリートの履歴を削除したり、その機能自体を無効にすることも対策としては有効です。
セキュリティは外部からの攻撃を防ぐことも大事なんですが、内部の犯行も非常に多いことを覚えておいてくださいね。
あなたの隣の人がもしかして・・・ってこともあるかもしれません。
そうやって疑うのって、すごく寂しいことかもしれませんが、実際にそういうこ
とが起こっていることを無視するわけにはいかないですよね。
2005年02月14日
パスワードクラッキング
パスワードクラッキング(Password Cracking)についてのお話です。
パスワードを見破るための手法として従来から以下の2つの方法が有名ですね。
・辞書攻撃
・ブルートフォース攻撃
まず「辞書攻撃」ですが、英単語や人名などが収録された辞書ファイルを使って、単語を片っ端から入力してパスワードを破る方法です。
もう一つの「ブルートフォース攻撃」の、Brute Force は、「力ずくで、乱暴に」という意味の通り、あらゆる文字の組み合わせで総当りで試していく方法です。
これらの方法ですが、直接接続して(オンラインで)攻撃するよりも、オフラインで行われることが多いと思います。
通常、サーバ上などにユーザとパスワードの書かれたファイルが暗号化して置いてあるのですが、これを何らかの方法で入手し、その暗号を解読するために辞書攻撃やブルートフォース攻撃が利用されます。
辞書攻撃で簡単に見破られないためには、名前とか、英単語をそのままパスワードに使わないことです。
ある調査によると、男の人は女の人の名前をつけたり、女の人はペットやタレントの名前をパスワードに使ってることが多いみたいなので、そういうパスワードはやめましょうね。
次にブルートフォース攻撃への対策ですが、理論上ではこの攻撃で解けないパスワードはありません。
あとは、解析の時間が問題となってきます。
最近は解析する側のPCのスペック(性能)もあがっていますので、3文字のパスワードだったら数秒で、5文字のものでも数十日で解析が出来るようです。
6文字以上だったら今の性能では数十年かかるから多少安心ですが、人間はあまり長すぎるパスワードは覚えられないという欠点もあります。
8〜10文字程度で、英数字や大文字と小文字を組み合わせたパスワードを設定するようにしましょう!
2005年02月10日
電磁波盗聴(テンペスト)
電磁波盗聴は、別名TEMPEST(テンペスト)ともいいます。
電磁波って聞いたことありますよね?
TVやパソコン、携帯電話など、電気を利用するものから発生する微量な電波です。
よく聞くのは健康面に対する影響だと思いますが、実はセキュリティ的にも色々と問題があるんです。
みなさんが使っているPCからも当然電磁波が発生してます。
実は、高性能な受信機を使ってこの電磁波を受信すれば、そこから様々な情報を入手することが可能なんです。
例えば、PCとモニターを繋いでいるケーブルから漏れる電波を受信すれば、表示されている内容を第三者のモニターに再現することができちゃいます。
また、PCとキーボードを繋いでいるケーブルからの電波であれば、キー入力もわかってしまいますので、それを覗き見することで、パスワードなんかもばれてしまいます。
しかも、実験では100M離れたところから、電磁波を受信できることを確認しているそうです。
この問題はかなり昔から議論されていて、ウイルスとかスパイウェアの次に来る情報セキュリティの新たな脅威と考えられています。
これの対策をする団体もあります。
「そんなんじゃ、いくらセキュリティを高めても、だめじゃん」と思ってしまうかもしれませんが、対策としては電磁波を遮断するフィルターや、もともと電磁波対策が施されたPCも販売されたりしていますので、これらを利用することも一つの手だと思います。
特殊機関などでは、サーバーを置いてある部屋全体を遮断する場合もあるみたいです。
でも、今の段階では個人レベルでは脅威は低いですので、あまり神経質にはならなくて良いと思います。
というのは、電波を受信するためには高価な専用機器が必要なのでなかなか個人で入手するのは難しいということがあります。
本格的なスパイ活動とかで、こういう機器が使われたりすることがあるみたいですね。
2005年02月09日
ウォー・ドライビング
皆さん、無線LANのセキュリティ設定はきちんとやってますか?
やってない人は今日紹介する『ウォードライビング』には気をつけてくださいね。
ウォー・ドライビングとは、無線LANカードを搭載したPCを車に積み込んで、その辺をうろうろドライブして電波を受信できそうなアクセスポイントを探し回る行為です。
Windows XPで無線LANを使ってる人はわかると思いますが、「利用できるネットワーク」というように、電波が届いたアクセスポイントの情報(ESSID)が画面表示されるかと思います。
もしセキュリティの対策(WEP、WPAなど)がきちんとされていないと、誰でもこの表示されたESSIDを設定したらネットワークに接続することが出来てしまいます。
接続した後は、ネットワークに流れるパケットを取得するキャプチャソフトなどと組み合わせて、盗聴などをされてしまう危険性があります。
ちなみに、僕も無線LAN使ってて、自宅のWindowsXPに表示される、「利用できるネットワーク」は、多いときは4つくらいのアクセスポイントが表示されます。
怖いのは、そのうち2つがセキュリティ設定が何もされてませんでした。
(もちろん盗聴とかはしてませんよ^^)
また、NetStumblerというソフトを使うと、アクセスポイントの情報を収集して、ESSIDや、WEPが設定されているかどうかの情報までわかってしまいます。
このソフトを利用して、ウォー・ドライビングでこれらの情報を収集して、インターネット上に公開されてたりします。怖いですね〜。
とりあえず、これらの対策としては色々ありますけど、最低限、無線LANのアクセスポイントで、WEPやWPA、またはTKIPといった暗号化通信を設定することですね。
(これらの詳細はまた別途紹介しますね。無線LANのアクセスポイントを持っている人はとりあえず、説明書とにらめっこしてみましょう)
この中でWEPという方式は、解読される危険性があると言われていますが、ないよりは全然ましですよ。
玄関のカギだって、ピッキングされる可能性ありますけど、みんなカギはかけますよね?
ということで、無線LANを導入して、何も設定しないで使ってる人は気をつけましょう!
2005年02月08日
バナーチェック
さて、クラッカーは、前回説明したポートスキャンによって、コンピュータ上でどのようなポートが空いているかをチェックした後、次の攻撃段階に入ります。
例えばそのコンピュータ上ではWebサーバが利用する80番ポートが空いているとします。
でもこの段階では、Webサーバソフトが動作しているということだけで、どんなソフトかはわかりません。
じゃあ何のソフトが動いているかを調べてやろう、というのがバナーチェックです。
今回もWebサーバとブラウザを例に取ってみます。
ブラウザを立ち上げて、アドレスを入力すると、Webサイトが見れますよね。
実はこの動作の裏では、ブラウザがWebサーバに対して命令を送り、その応答を受け取るという、テキスト文字のやり取りがあります。
そのテキストの命令のやり取りをブラウザがユーザに代行してやってくれているのです。
ブラウザ上には表示されませんが、Webサーバが返すテキストの応答の中には通常、Webサーバ自身のソフトの名称やバージョン情報が含まれています。
クラッカーはツール(telnet等)を使って、これらの情報を見るのです。
バナーチェックによりソフト名とバージョン名がわかった後、クラッカーはそのバージョンのソフトに脆弱性(セキュリティホール)があるかどうかを公開されている情報の中から調べます。
例えば、Windowsでよく利用されているIISというWebサーバを使っているとわかれば、その脆弱性(セキュリティホール)を調べ、それを攻撃するためのツール(こういうのもインターネットに公開されたりしてます)を使ってアタックをしたりするわけです。
ポートスキャン → バナーチェック → セキュリティホール攻撃
という流れになるんですが、ポートスキャンとバナーチェックは、通信上では、特に不正なことをしてるわけではないので、防ぐことはできません。
最後のセキュリティホールの部分はちゃんと防ぐことが重要です。
2005年02月07日
ポートスキャンとは?
ポートスキャンとはどのようなものでしょう?
まず、コンピュータの通信の仕組み(TCP/IP)をから簡単に説明しますね。
コンピュータ同士が通信するときにはポート番号というものが利用されます。
Web(HTTP)では80番ポート、メール(SMTP)では25番ポートというように、有名なサービスはポート番号が決まっています。
例えばWebサーバとして動作するプログラムは、Webのサービスとして80番ポートを空けておき、それを利用する人(ブラウザ)は80番ポートに問い合わせましょう、という決まりごとを皆で守ることによって、ネットワーク上のサービスは成り立っています。
ですので、YAHOO!さんがWebサーバを一般に公開しているとすれば、YAHOO!のホームページは、80番ポートで待ち受けているということです。
だから、ブラウザはYAHOO!の80番ポートに対してHTTPの通信をします。
以下のように、ブラウザのアドレスバーに、サイトの後に80番と指定しても接続できます。
(通常はこの":80"というのは省略されています)
http://www.yahoo.co.jp:80
このようにWebサーバであるとわかっていれば80番ポートが空いているとわかるのですが、Webサーバではない、ネットワークにつながっているコンピュータがどんなポートを空けているかを調べるために使われるのがポートスキャンという手法です。
ポートによってサービスが決まっているので、ポートがわかれば、そのサーバ上でどんなサービスが動いているかがある程度わかるんですね。
ポートスキャンそのものは大して被害はないんですが、攻撃者がポートスキャンによって、そのコンピュータ上で開いているポートを知り、その後、攻撃を開始するための足がかりとして利用されます。
ポートスキャンを行うための有名なツールとしてはNMAPが良く知られています。
ただ、本来はサーバに不要なポートが空いていないか等をチェックするためのセキュリティチェック用のソフトです。
このようなセキュリティ対策ソフトは、諸刃の剣とよく言われ、セキュリティ侵害をするためにも利用可能ですので、利用者のモラルが求められるところですね。
2005年02月04日
スパイウェアって何?
今日はスパイウェアについてお話してみたいと思います。
前回、解説したトロイの木馬とこのスパイウェア、実はとてもよく似ているんです。
でも、基本的にトロイの木馬はウイルスですが、スパイウェアはウイルスではありません。
主な違いは何かというと、ウイルスの場合は他のコンピュータに感染したり、作者が不明だったりします。
その点、スパイウェアはちゃんとした会社が提供したりするものも多く、他のコンピューターに感染もしなかったりする場合がほとんどです。
ふだん皆さんが何の疑問も持たず使っているソフトがスパイウェアだったりします。
そういう性質上、これまではウイルス対策ソフトはスパイウェアは検出しませんでした。
だって、合法的なソフトウェアなのに勝手に見つけて削除しちゃったら、そのソフトを提供している会社や作成者からクレームを受けかねないからです。
スパイウェアの中にも色々ありまして、それほど害がないものだったらユーザのWebサイトの履歴などを収集してマーケティングに役立てたりする程度です。
でも、悪質なものだと、キーボード操作の履歴を保存するキーロガーのようなものもあります。
なんか上の説明を聞いても、「何かいまいちウイルスとの違いがはっきりしないな〜」って思うかもれません。
そうなんです、スパイウェアはとってもはっきりしないソフトなんです。
ウイルスのようでいて、ウイルスじゃない、それでいてウイルスよりも悪質な場合がある、という何ともやっかりな代物です。
スパイウェア対策用ソフトというものもあるんですが、最近のウイルス対策ソフトでもこのスパイウェアを検出するようになっています。
でも、ウイルスと違って、ソフト会社によっては、あるスパイウェアを検出したり、しなかったりと対応がまちまちです。
これは各社のポリシーとして何をスパイウェアと定義しているかがバラバラだからなんです。
ちなみに、スパイウェア対策のフリーソフトとしては以下のものが有名です。
それ以外に有効なのは、パーソナルファイアウォールで、外部への通信時に警告してくれるように設定するのも有効な手段です。
その場合、自分は何も操作してないのに、いきなり警告画面があがってきたらスパイウェアが何かの情報を送ろうとしているのかもしれませんので、気をつけてくださいね。
2005年02月03日
トロイの木馬って?
去年、「トロイ」って映画ありましたよね?(僕は見てないんですが・・・)
あれの舞台となった古代ギリシアのトロイ戦争が、このウイルスの語源です。
守りの堅いトロイの城を攻略できなかったギリシア軍は、一旦逃げ帰ったとみせかけて木馬の中に隠れていました。
トロイ軍は、ギリシア軍が木馬を置いていったと思い、城に持ち帰ると・・・
っていうような話です。
ウイルスの世界でのトロイの木馬は、便利なソフトなどに見せかけてコンピューターに侵入して破壊活動や、迷惑活動などを行う不正なプログラムです。
感染経路としては、フリーソフトや、修正パッチを装って、ユーザ自身に実行させる方法や、ワームとしてセキュリティホールを突いて侵入してくる場合など、様々な手段を取ります。
日本で被害が大きかったトロイの木馬としては、デシーブリンクという名前のウイルスがあります。
アダルトサイトのアクセス用プログラムとしてインストールすると、タスクトレイに常駐してアダルトサイトへの接続を試みるという動作をします。
海外発のものでは去年、レアルマドリードのベッカムの不倫の写真の現場の写真を装ったトロイの木馬なんかもありました。
トロイの木馬のその他の主な動作としてはバックドアの作成があります。
バックドアとは、コンピューター内で、外部から通信可能なプログラムを立ち上げることにより外部にいる攻撃者にリモートからの操作を可能にするプログラムです。
これが仕込まれると、簡単にコンピューターが乗っ取られてしまいます。
他には、キーロガーと呼ばれる、ユーザーのキー入力を保存しておいて、そこからパスワードなどを抜き出す手法なんかもあります。
こういった方法が最近フィッシング詐欺にも使われているようですね
例えばバンカーと呼ばれるトロイの木馬は、ユーザがオンラインバンクに接続するのを待って、パスワードを記録する動作をします。
便利だからといって、何でもソフトのインストールの乱発はなるべく避けましょうね。
自分がよく使ってるソフトが実はトロイの木馬を仕掛けていたってことは結構よくあることです。
※実は経験ありだったりして・・・
2005年02月02日
暴れん坊 MSブラスター
もう1年以上経ちますが、2003年8月に現れたMSブラスター(別名:MS BLAST/Lovsan)は、ネットワーク型ワームの代表的なウイルスです。
このワームは同年7/16にマイクロソフトから発表されたセキュリティホール[MS03-026]を利用して、以下の攻撃を仕掛けます。
1. ランダムなIPアドレスに対して攻撃
2. セキュリティホールのあるコンピュータを見つけると、自身(msblast.exe)をコピー
3. リモートから実行命令を送り、感染
このウイルスには、マイクロソフトのアップデートサイトに対する攻撃もプログラムされていましたが、この攻撃はマイクロソフト側が先に気づき、上手く切り抜けたようです。
このウイルスが大変な被害を引き起こした一番の理由としては、セキュリティホールが報告されてからウイルス発生までの期間の短さにつきると思います。
これまでのネットワーク型ワームは、"セキュリティホール発見" ->"ウイルス発生" まで、最短でも半年くらいの猶予はありました。
そういう状況を知ってたので、ほとんどの人はセキュリティホールが報告されても、「そのうち適用すればいいでしょ」的なところがあったんでしょう。
でもMSブラスターの場合、報告から発生までたったの26日しかありませんでした。
このせいで、企業などでパッチを適用できていない場合は相当な被害を受けました。
「ん?企業とかはインターネットの出口にファイアウォールがあるから、外部からの攻撃とかは防いでくれるのでは?」
とちょっと詳しい方なら思いますよね?
そうです。インターネットから不正なポートへのアクセスは大抵ファイアウォールが防いでくれます。
でも残念なことに企業へのMSブラスターの感染経路はインターネット経由じゃないんです。
主にインターネット経由で感染するのは、実は個人のユーザーです。
つまり社員がノートPCを家に持って帰って、家でネットに繋げて感染した後、会社に持ちこんで、感染。
このケースがめちゃくちゃ多かったんです。
日本でもお盆明けに大変な騒ぎでしたけど、特にアメリカは電車が止まったり、色々なシステムが停止してひどかったみたいです。
特に2003年夏のニューヨークで大停電があったのを覚えてますか?
事情通の間では、あれは実はMSブラスターが原因だとささやかれています。
このように、コンピュータが私たちの生活に浸透してくればくるほど、ウイルスによる被害はどんどん大きくなってるんですねー。
くどいようですが、パッチ(Windows Update)はすぐに適用しましょう!
2005年02月01日
ワームとは? その2
「ネットワーク型ワーム」
今回はメールという方法を使わないで、ネットワークを介して感染を広げるネットワーク型ワームのお話です。
ネットワーク型ワームとはユーザがファイルを実行してくれなくても自分自身で勝手に感染していってくれるなんとも親切な(?)ウイルスです。
以下は、代表的なネットワーク型ワームの動作です。
まず最初にワームはネットワークに繋がれたコンピュータを探します。
どうやってコンピュータを探すかというと、IPアドレスと呼ばれるネットワークに繋がるコンピュータにつけられた一意の番号(例:192.168.0.1)に対して、総当りで「いますか〜?」という問い合わせをします。
その後、発見したコンピュータに対して、セキュリティホールを利用した攻撃をとりあえずやってみます。
そのコンピュータがちゃんとパッチを適用していれば大丈夫ですが、もし、パッチ未適用で、セキュリティホールが残ってるコンピュータはやられてしまいます。
そして攻撃が成功した場合、ワームは勝手にそのコンピュータに侵入することができます。
侵入って具体的に何をするかといいますと、実行ファイル(ワーム本体)をコピーして、そのコンピュータ上で実行し、感染させます。
実はこれまでのほとんどのネットワーク型ワームは、Microsoftがセキュリティホールとそれに対する修正パッチを公開した後に発生しています。
つまり、ほとんどの場合、ウイルス作者はMicrosoftから情報をもらうことにより、ワームを作成することができていたのです。
「先に修正パッチが出てるんだったら問題ないじゃん」と思うかもしれませんが、、これが皆さんなかなかパッチを当てないんです。
面倒、適用方法がよくわからない、といった理由の他に、会社で使ってるソフトに影響があるかもしれないので適用できないなど、いろいろな理由があります。
ウイルス作者もそれをわかってるんですね。
メール経由で感染するマスメーリング型ワームの場合、皆さんが利用しているようなPCに感染するものが多いんですが、ネットワーク型ワームは、ちょっと前まではサーバーに感染するものがほとんどでした。
代表的なものにCodeRed、Nimda、SQLスラマーといったワームがありますが、これらはサーバーソフトウェアのセキュリティホールを狙うワームでした。
なぜかというと、マスメーリング型の場合は、メールを取り込んでもらい、実行してもらえればいいんですが、ネットワーク型の場合は常時ネットワークに繋がっていなければ攻撃を受けないからです。
だから、クライアントPCじゃなくて、常にネットワークにつながっているサーバーがターゲットだったんですね。
でも、最近ブロードバンド化が進み、皆さんのPCもネットワークに常時繋がるようになり、サーバーだけでなく、クライアントのPCにも感染するワームがあらわれました。
その最初にして最も強力だったものが、MSブラスターと呼ばれるワームです。
次回はMSブラスターの話をしてみたいと思います。